第 8 章 章 外部認証の設定 外部認証の設定
8.5. プロビジョンされたホストの外部認証 プロビジョンされたホストの外部認証
本項では、プロビジョニングされたホストを認証するために IdM 統合を設定する方法について説明しま す。最初に Satellite または Capsule Server で IdM レルムサポートを設定し、次にホストを IdM レルム グループに追加します。
8.5.1. Red Hat Satellite Server または または Capsule Server での での IdM レルムサポー レルムサポー トの設定
トの設定
プロビジョニングされたホストに対して IdM を使用するには、最初に Red Hat Satellite Server または Red Hat Satellite Capsule Server を設定します。
前提条件 前提条件
Satellite Server がコンテンツ配信ネットワークに登録されているか、または独立した Capsule Server が Satellite Server に登録されています。
Red Hat Identity Management などのレルムまたはドメインプロバイダーが設定されています。
手順
手順8.7 Red Hat Satellite Server またはまたは Capsule Server でのでの IdM レルムサポートの設定レルムサポートの設定:
1. Satellite Server または Capsule Server に以下のパッケージをインストールします。
# yum install ipa-client foreman-proxy ipa-admintools
2. IdM クライアントとして Satellite Server (または Capsule Server) を設定します。
# ipa-client-install
3. Satellite Server または Capsule Server の Red Hat Identity Management で realm-capsule ユーザーと関連ロールを作成します。
第
第8章章 外部認証の設定外部認証の設定
# foreman-prepare-realm admin realm-capsule
foreman-prepare-realm を実行して、Capsule Server と使用するよう IdM サーバーを準備しま す。これにより、Satellite に必要なパーミッションを持つ専用ロールと、そのロールを持つユー ザーが作成され、keytab ファイルが取得されます。この手順では Identity Management サー バー設定の詳細が必要になります。
コマンドが正常に実行されると、以下のコマンド出力が表示されるはずです。
Keytab successfully retrieved and stored in: freeipa.keytab Realm Proxy User: realm-capsule
Realm Proxy Keytab: /root/freeipa.keytab
4. /root/freeipa.keytab を /etc/foreman-proxy ディレクトリーに移し、ユーザーの foreman-proxy に所有者設定を行います。
# mv /root/freeipa.keytab /etc/foreman-proxy
# chown foreman-proxy:foreman-proxy /etc/foreman-proxy/freeipa.keytab 5. Satellite Server または Capsule Server のどちらを使用しているかに応じてレルムを設定しま
す。
A. Satellite Server で統合された Capsule Server を使用している場合は、レルムを設定するた めに satellite-installer を使用します。
# satellite-installer --foreman-proxy-realm true \
--foreman-proxy-realm-keytab /etc/foreman-proxy/freeipa.keytab \ --foreman-proxy-realm-principal '[email protected]' \ --foreman-proxy-realm-provider freeipa
注記 注記
これらのオプションは、Red Hat Satellite Server を初めて設定する場合にも実行でき ます。
B. 独立した Capsule Server を使用している場合は、レルムを設定するために satellite-installer --scenario-capsule を使用します。
# satellite-installer --scenario-capsule --realm true \ --realm-keytab /etc/foreman-proxy/freeipa.keytab \ --realm-principal '[email protected]' \ --realm-provider freeipa
6. ca-certificates パッケージの最新バージョンがインストールされ、IdM 認証局が信頼されているこ とを確認します。
# cp /etc/ipa/ca.crt /etc/pki/ca-trust/source/anchors/ipa.crt
# update-ca-trust enable
# update-ca-trust
7. (オプション) すでに存在する Satellite Server または Capsule Server で IdM を設定している場 合は、設定の変更を反映するために以下の手順も実行する必要があります。
a. foreman-proxy サービスを再起動します。
# service foreman-proxy restart
b. Satellite Server にログインし、インフラストラクチャーインフラストラクチャー → Capsule をクリックしま す。
c. IdM 用に設定した Capsule Server の右側にあるドロップダウンメニューをクリック し、Refresh Features (機能の更新機能の更新) を選択します。
8. 最後に、Satellite Server ユーザーインターフェースで新規のレルムエントリーを作成します。
a. インフラストラクチャー → インフラストラクチャー レルムレルム をクリックしてから、メインページの右側にある 新規新規 レルム
レルム をクリックします。
b. 以下のサブタブにフィールドに入力します。
a. Realm (レルムレルム) サブタブで、レルム名、使用するレルムの種類、およびレルムプ ロキシーを指定します。
b. Locations (ロケーションロケーション) サブタブで、新規レルムを使用する予定のロケー ションを選択します。
c. Organizations (組織組織) サブタブで、新規レルムを使用する予定の組織を選択し ます。
c. 送信 送信をクリックします。
Satellite Server または Capsule Server は、IdM に自動的に登録されるホストをプロビジョニングでき るようになりました。次の項では、ホストを IdM ホストグループに自動的に追加する手順について詳しく 説明します。
8.5.2. IdM ホストグループへのホストの追加 ホストグループへのホストの追加
Red Hat Enterprise Linux Identity Management (IdM) では、システムの属性に基づいて自動メンバー シップルールをセットアップできます。Red Hat Satellite のレルム機能は、管理者に対し、Red Hat Satellite ホストグループを IdM パラメーター「userclass」にマップする機能を提供します。これによ り、管理者は automembership を設定することができます。
ネスト化されたホストグループが使用される場合、それらは Red Hat Satellite ユーザーインターフェース に表示され、IdM サーバーに送信されます。たとえば、"Parent/Child/Child" のように表示されます。
注記 注記
Satellite Server または Capsule Server はアップデートを IdM サーバーに送信しますが、
automembership のルールは、初期登録時にのみ適用されます。
手順
手順8.8 IdM ホストグループへのホストの追加ホストグループへのホストの追加:
1. IdM サーバー上で、ホストグループを作成します。
# ipa hostgroup-add hostgroup_name Description: hostgroup_description
---第
第8章章 外部認証の設定外部認証の設定
---Host-group: hostgroup_name
Description: hostgroup_description ここで、
a. hostgroup_name はホストグループの名前です。
b. hostgroup_description はホストグループの説明です。
2. automembership のルールを作成します。
# ipa automember-add --type=hostgroup automember_rule
---Added automember rule "automember_rule"
---Automember Rule: automember_rule ここで、
a. automember-add は automember グループとしてグループにフラグを立てます。
b. --type=hostgroup は、ターゲットグループがユーザーグループではなく、ホストグ ループであることを特定します。
c. automember_rule は、automember ルールの特定に使用する名前です。
3. userclass 属性に基づいて automembership の条件を定義します。
# ipa automember-add-condition key=userclass type=hostgroup --inclusive-regex=^webserver hostgroup_name
---Added condition(s) to "hostgroup_name"
---Automember Rule: automember_rule Inclusive Regex: userclass=^webserver
---Number of conditions added 1 ---ここで、
a. automember-add-condition により、グループメンバーを特定するための正規表現の条 件を追加することができます。
b. --key=userclass はキー属性を userclass に指定します。
c. --type=hostgroup は、ターゲットグループがユーザーグループではなく、ホストグ ループであることを特定します。
d. --inclusive-regex=^webserver は、一致する値を特定するための正規表現パターン です。
e. hostgroup_name はターゲットホストグループの名前です。
システムが Satellite Server の hostgroup_name ホストグループに追加されると、そのシステムは、
Identity Management サーバーの "hostgroup_name" ホストグループにも自動的に追加されます。IdM ホストグループは、HBAC (ホストベースアクセス制御)、sudo ポリシー、およびその他の IdM 機能を許可 します。
[4]
https://access.redhat.com/documentation/en- US/Red_Hat_Enterprise_Linux/7/html/Linux_Domain_Identity_Authentication_and_Policy_Guide/linux-manual.html
[5]
https://access.redhat.com/documentation/en- US/Red_Hat_Enterprise_Linux/7/html/Linux_Domain_Identity_Authentication_and_Policy_Guide/host-attr.html
[6]
https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Linux_Domain_Identity_Authentication_and_Policy_Guide/services.ht ml
[7]
https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Linux_Domain_Identity_Authentication_and_Policy_Guide/configurin g-host-access.html
[8] https://access.redhat.com/solutions/67895 [9]
https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Windows_Integration_Guide/active-directory-trust.html [10]
https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Windows_Integration_Guide/sssd-gpo.html 第
第8章章 外部認証の設定外部認証の設定